Gia tăng các cuộc tấn công tải về được dẫn dắt bởi phần mềm độc hại Grumblar

Published: 2009-05-22

Theo: http://www.securityfocus.com/brief/966

Bài được đưa lên Internet ngày: 22/05/2009

Lời người dịch: Hãy cẩn thận với các phần mềm chống virus mà bạn đang sử dụng vì chúng có thể là giả mạo đấy bởi chúng được cài đặt theo lệnh của phần mềm độc hại như Grumblar theo trật tự sau: “Grumblar đánh cắp uỷ nhiệm truyền tệp FTP, gửi đi spam, cài đặt phần mềm chống virus giả mạo, đột nhập và các câu hỏi tìm kiếm của Google, và vô hiệu hoá các phần mềm an ninh”. Thế mới biết là những người sử dụng Windows có nhiều thứ để mà bận rộn thật. Sử dụng hệ điều hành GNU/Linux, hình như, không mấy ai nhớ tới khái niệm phần mềm diệt virus là cái gì!

Các hãng an ninh và Đội Sẵn sàng Cứu hộ Máy tính Khẩn cấp của Mỹ (US-CERT) đã cảnh báo tuần này về một loạt các cuộc tấn công mà đã làm hại các website và sau đó đã sử dụng các webiste bị lây nhiễm này để lan truyền các phần mềm độc hại.

Các phần mềm độc hại đứng đằng sau các cuộc tấn công này – được biết tới là một loạt như Grumblar, Martuz và JSRedir – tham gia ít nhất 2 mẩu phần mềm độc hại trong một cuộc tấn công nhiều giai đoạn: Ban đầu được đặt trên các webiste bị hại thông qua, những gì mà các nhà phân tích an ninh tin tưởng, bị đánh cắp những uỷ nhiệm truyền tệp FTP, và thứ 2 là lái định tuyến các nạn nhân mà viếng thăm các site bị hại đó tới một website độc hại khác để lây nhiễm sang cho các máy tính. Một khi một hệ thống của người sử dụng đầu cuối bị lây nhiễm, các phần mềm độc hại này sẽ ăn cắp bất kỳ uỷ nhiệm truyền tệp FTP nào, cài đặt các phần mềm an ninh giả mạo, và lái định tuyến một số tìm kiếm của Google tới các site độc hại tiềm năng khác.

Các cuộc tấn công này, ban đầu đã được phát hiện vào tháng 03, hoành hành đầu tháng này, hơn 40% tất cả các cuộc tấn công dựa trên web, theo hãng an ninh Sophos. Trong khi đó thì các website bị hại bởi các cuộc tấn công cứ nhân đôi mỗi ngày trong tuần trước, thì tuần này, scripts độc hại dường như sẽ lan truyền chậm hơn, theo hãng an ninh web ScanSafe.

“Tin tốt lành là việc những kẻ tấn công có thể thấy khó khăn để làm việc này”, Mary Landesman, nhà nghiên cứu an ninh cao cấp với ScanSafe, nói trên blog của công ty. “Trong khi việc phát hiện từ các nhà cung cấp chữ ký và dò tìm web vẫn còn khá thấp và kết quả là số lượng các trường hợp bị hại gia tăng, thì sự quan tâm tập trung vào các cuộc tấn công thông qua các phương tiện và cộng đồng an ninh nói chung đang trợ giúp để làm cho các miền của phần mềm độc hại bị tắt khá nhanh”.

Trong khi các cuộc tấn công sử dụng các tên miền nằm tại Trung Quốc, thì các địa chỉ IP thực lại dẫn ngược về Nga, các nhà nghiên cứu nói.

Theo nhà phân tích an ninh Andrew Martin, Grumblar đánh cắp uỷ nhiệm truyền tệp FTP, gửi đi spam, cài đặt phần mềm chống virus giả mạo, đột nhập và các câu hỏi tìm kiếm của Google, và vô hiệu hoá các phần mềm an ninh.

Security firms and the U.S. Computer Emergency Readiness Team (US-CERT) warned this week of a series of attacks that has compromised Web sites and then used the infected sites to spread malware.

The malware behind the attacks — known variously as Grumblar, Martuz and JSRedir — involves at least two pieces of malicious software in a multi-stage attack: The first is placed on Web sites compromised through, what security analysts believe, are stolen FTP credentials, and the second redirects victims who visit the compromised site to a different malicious Web site that infects their computers. Once an end user's system is infected, the malicious software steals any FTP credentials, installs fake security software, and redirects some Google searches to potentially malicious sites.

The attacks, first detected in March, spiked earlier this month, surpassing 40 percent of all Web-based attacks, according to security firm Sophos. While Web sites compromised by the attacks doubled every day last week, this week, the malicious scripts appear to be spreading more slowly, according to Web security firm ScanSafe.

"The good news is that the attackers may just be finding it hard to do business," Mary Landesman, senior security researcher with ScanSafe, said on the company's blog. "While detection f-rom signature vendors and Web crawlers still remains quite low and the number of compromises increases as a result, the attention focused on the attacks via the media and security community at large is helping to get the malware domains shutdown rather quickly."

While the attack uses domain names based in China, the actual IP addresses lead back to Russia, researchers stated.

According to security analyst Andrew Martin, Grumblar steals FTP credentials, sends spam, installs fake antivirus software, hijacks Google search queries, and disables security software.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com